本简介主体部分来自官方文档,同时做了适用于本文档的修改,全文均经过仔细阅读和揣摩,确保文档的适用性与了解ISO 27001文件精神
一 总则
本标准用于为组织建立、实施、保持和持续改进信息安全管理体系提供要求。采用信息安全管理体系是组织的一项战略性决策。一个组织信息安全管理体系的建立和实施受其战略决策、组织需求、目标、安全要求、所采用的过程以及组织的规模和结构的影响。上述这些影响因素会不断发生变化。
信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,以充分管理风险并给予相关方信心。
信息安全管理体系是组织过程和整体管理结构的一部分,同时将其整合在一起是非常重要的。信息安全在设计过程、信息系统、控制措施时就要考虑信息安全。按照组织的需要实施信息安全管理体系,是本标准所期望的。
标准可被内部和外部相关方使用,评估组织的能力是否满足组织自身信息安全要求。
本标准中要求的顺序并不能反映他们的重要性或意味着他们的实施顺序。列举的条目仅用于参考目的。
ISO/IEC27000描述了信息安全管理体系的概述和词汇,参考了信息安全管理体系标准族(包括 ISO/IEC 27003、ISO/IEC 27004和 ISO/IEC 27005)以及相关的术语和定义。
二 范围
本标准从组织环境的角度,为建立、实施、运行、保持和持续改进信息安全管理体系规定了要求。本标准还规定了为适应组织需要而定制的信息安全风险评估和处置的要求。本标准规定的要求是通用的,适用于各种类型、规模和特性的组织。
三 规范性引用文件
下列文件的全部或部分内容在本文件中进行了规范引用,对于其应用是必不可少的。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。
ISO/IEC 27000,信息技术 — 安全技术 — 信息安全管理体系 — 概述和词汇
四 术语和定义
ISO/IEC 27000中的术语和定义适用于本标准。
五 组织环境
理解组织及其环境
组织应确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。
理解相关方的需求和期望
组织应确定:
a) 与信息安全管理体系有关的相关方。
b) 这些相关方与信息安全有关的要求。
注:相关方的要求可能包括法律法规要求和合同义务。
确定信息安全管理体系的范围
组织应确定信息安全管理体系的边界和适用性,以建立其范围。当确定该范围时,组织应考虑:
a) 在5.1-理解组织及其环境中提及的外部和内部问题;
b) 在 5.2-理解相关方的需求和期望中提及的要求;
c) 组织所执行的活动之间以及与其它组织的活动之间的接口和依赖性范围应文件化并保持可用性。
信息安全管理体系
组织应按照本标准的要求建立、实施、保持和持续改进信息安全管理体系。
六 领导
领导和承诺
高层管理者应通过下列方式展示其关于信息安全管理体系的领导力和承诺:
a) 确保建立信息安全方针和信息安全目标,并与组织的战略方向保持一致;
b) 确保将信息安全管理体系要求整合到组织的业务过程中;
c) 确保信息安全管理体系所需资源可用;
d) 传达信息安全管理的重要性,并符合信息安全管理体系的要求;
e) 确保信息安全管理体系实现其预期结果;
f) 指导并支持人员为信息安全管理体系的有效实施作出贡献;
g) 促进持续改进;
h) 支持其他相关管理角色在其职责范围内展示他们的领导力。
方针
高层管理者应建立信息安全方针,以:
a) 与组织的宗旨相适用;
b) 包含信息安全目标7.2-信息安全目标和规划实现或为信息安全目标提供框架;
c) 包含满足适用的信息安全相关要求的承诺;
d) 包含信息安全管理体系持续改进的承诺。
信息安全方针应:
e) 文件化并保持可用性;
f) 在组织内部进行传达;
g) 适当时提供给相关方。
组织角色、职责和权限
高层管理者应确保分配并传达了信息安全相关角色的职责和权限。
高层管理者应分配下列职责和权限:
a) 确保信息安全管理体系符合本标准的要求;
b) 将信息安全管理体系的绩效报告给高层管理者。
注:高层管理者可能还要分配在组织内部报告信息安全管理体系绩效的职责和权限。
七 规划
应对风险和机会的措施
总则
当规划信息安全管理体系时,组织应考虑5.1-理解组织及其环境中提及的问题和5.2-理解相关方的需求和期望中提及的要求,确定需要应对的风险和机会,以:
a) 确保信息安全管理体系能实现其预期结果;
b) 防止或减少意外的影响;
c) 实现持续改进。
组织应规划:
d) 应对这些风险和机会的措施;
e) 如何
- 整合和实施这些措施并将其纳入信息安全管理体系过程;
- 评价这些措施的有效性。
信息安全风险评估
组织应定义并应用风险评估过程,以:
a) 建立并保持信息安全风险准则,包括:
- 风险接受准则;
- 执行信息安全风险评估的准则;
b) 确保重复性的信息安全风险评估可产生一致的、有效的和可比较的结果;
c) 识别信息安全风险:
- 应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性的相关风险;
- 识别风险负责人;
d) 分析信息安全风险:
本条 c) 1)中所识别风险发生后将导致的潜在影响;本条 c) 1)中所识别风险发生的现实可能性;- 确定风险级别;
e) 评价信息安全风险;
- 将风险分析结果同
本条 a)建立的风险准则进行比较; - 为实施风险处置确定已分析风险的优先级。
组织应定义并应用风险评估过程,以:
组织应保留信息安全风险评估过程的文件记录信息。
信息安全风险处置
组织应定义并应用信息安全风险处置过程,以:
a) 在考虑风险评估结果的前提下,选择适当的信息安全风险处置选项;
b) 为实施所选择的信息安全风险处置选项,确定所有必需的控制措施;
注:组织可按要求设计控制措施,或从其他来源识别控制措施。
c) 将本条 b)所确定的控制措施与附录A(本文没有写附录,附录请自行查阅)的控制措施进行比较,以核实没有遗漏必要的控制措施;
d) 产生适用性声明。适用性声明要包含必要的控制措施(见本条 b)和 c))、对包含的合理性说明(无论是否已实施)以及对附录A(本文没有写附录,附录请自行查阅)控制措施删减的合理性说明;
e) 制定信息安全风险处置计划;
f) 获得风险负责人对信息安全风险处置计划以及接受信息安全残余风险的批准。组织应保留信息安全风险处置过程的文件记录信息。
注:本标准中的信息安全风险评估和处置过程可与 ISO 31000[5]中规定的原则和通用指南相结合。
信息安全目标和规划实现
组织应在相关职能和层次上建立信息安全目标。
信息安全目标应:
a) 与信息安全方针一致;
b) 可测量(如可行);
c) 考虑适用的信息安全要求以及风险评估和风险处置结果;
d) 被传达;
e) 适当时进行更新。
组织应保留关于信息安全目标的文件记录信息。
当规划如何实现其信息安全目标时,组织应确定:
f) 要做什么;
g) 需要什么资源;
h) 由谁负责;
i) 什么时候完成;
j) 如何评价结果。
八 支持
资源
组织应确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。
能力
组织应:
a) 确定从事影响信息安全执行工作的人员在组织的控制下从事其工作的必要能力;
b) 确保人员在适当教育,培训和经验的基础上能够胜任工作;
c) 适用时,采取措施来获得必要的能力,并评价所采取措施的有效性;
d) 保留适当的文件记录信息作为能力方面的证据。
注:例如适当措施可能包括为现有员工提供培训、对其进行指导或重新分配工作;雇用或签约有能力的人员。
意识
人员在组织控制下从事其工作时应意识到:
a) 信息安全方针;
b) 他们对有效实施信息安全管理体系的贡献,包括信息安全绩效改进后的益处;
c) 不符合信息安全管理体系要求可能的影响。
沟通
人员在组织的控制下从事其工作时应意识到:组织应确定有关信息安全管理体系在内部和外部进行沟通的需求,包括:
a) 什么需要沟通;
b) 什么时候沟通;
c) 跟谁进行沟通;
d) 由谁负责沟通;
e) 影响沟通的过程。
文件记录信息
总则
组织的信息安全管理体系应包括:
a) 本标准要求的文件记录信息;
b) 组织为有效实施信息安全管理体系确定的必要的文件记录信息。
注:不同组织的信息安全管理体系文件记录信息的详略程度取决于:
- 组织的规模及其活动、过程、产品和服务的类型;
- 过程的复杂性及其相互作用;
- 人员的能力。
创建和更新
创建和更新文件记录信息时,组织应确保适当的:
a) 标识和描述(例如:标题、日期、作者或参考编号);
b) 格式(例如:语言、软件版本、图表)和介质(例如:纸质介质、电子介质);
c) 评审和批准其适用性和充分性。
文件记录信息的控制
信息安全管理体系和本标准所要求的文件记录信息应予以控制,以确保:
a) 无论何时何地需要,它都是可用并且适合使用的;
b) 它被充分保护(例如避免保密性丧失,使用不当或丧失完整性)。
对于文档化信息的控制,适用时,组织应处理下列问题:
c) 分配,访问,检索和使用;
d) 存储和保存,包括可读性的保持;
e) 变更管理(例如版本控制);
f) 保留和处置。
组织为规划和实施信息安全管理体系确定的必要的外部原始文件记录信息,适当时应予以识别并进行控制。
注:访问隐含一个权限决策:仅能查看文件记录信息,或有权去查看和变更文件记录。
九 运行
运行的规划和控制
组织应规划、实施和控制满足信息安全要求所需的过程,并实施7.1-应对风险和机会的措施中确定的措施。组织还应实施这些规划来实现7.2-信息安全目标和规划实现中所确定的信息安全目标。
组织应保持文件记录信息达到必要的程度:有信心证明过程是按计划执行的。
组织应控制计划了的变更,评审非预期变更的后果,必要时采取措施减缓负面影响。
组织应确保外包的过程已确定,并处于可控状态。
信息安全风险评估
考虑到7.1-应对风险和机会的措施中建立的风险评估执行准则,组织应按计划的时间间隔执行信息安全风险评估,当重大变更被提出或发生时也应执行信息安全风险评估。
组织应保留信息安全风险评估结果的文件记录信息。
信息安全风险处置
组织应实施信息安全风险处置计划。
组织应保留信息安全风险处置结果的文件记录信息。
十 绩效评价
监视、测量、分析和评价
a) 什么需要监视和测量,包括信息安全过程和控制措施;
b) 监视、测量、分析和评价的方法,适用时,确保结果有效;
注:选择的方法最好产生可比较和可再现的结果,这样才能被认为是有效的。
c) 什么时候应执行监视和测量;
d) 谁应实施监视和测量;
e) 什么时候应对监视和测量的结果进行分析和评价;
f) 谁应分析和评价这些结果。
组织应保留适当的文件记录信息作为监视和测量结果的证据。
内部审核
组织应按计划的时间间隔进行内部审核,以提供信息确定信息安全管理体系是否:
a) 符合
- 组织自身信息安全管理体系的要求;
- 本标准的要求;
b) 得到有效的实施和保持。
组织应:
c) 规划、建立、实施和保持审核方案,包括频次、方法、职责、计划要求和报告。审核方案应考虑所关注过程的重要性以及以往审核的结果;
d) 为每次审核定义审核准则和审核范围;
e) 审核员的选择和审核的实施应确保审核过程的客观性和公正性;
f) 确保审核结果报告给相关的管理者;
g) 保留文件记录信息作为审核方案和审核结果的证据。
管理评审
管理者应按计划的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性、充分性和有效性。
管理评审应包括下列方面的考虑:
a) 以往管理评审的措施的状态;
b) 与信息安全管理体系相关的外部和内部问题的变更;
c) 信息安全绩效的反馈,包括下列方面的趋势:
- 不符合和纠正措施;
- 监视和测量结果;
- 审核结果;
- 信息安全目标的实现;
d) 相关方的反馈;
e) 风险评估的结果和风险处置计划的状态;
f) 持续改进的机会。
管理评审的输出应包括与持续改进机会有关的决定,以及变更信息安全管理体系的所有需求。
组织应保留文件记录信息作为管理评审结果的证据。
十一 改进
不符合和纠正措施
当发生不符合时,组织应:
a) 对不符合作出反应,适用时:
- 采取措施控制并纠正不符合;
- 处理后果;
b) 为确保不符合不再发生或不在其他地方发生,通过下列方式评价消除不符合原因的措施需求:
- 评审不符合;
- 确定不符合的原因;
- 确定是否存在或可能发生相似的不符合;
c) 实施所需的措施;
d) 评审所采取纠正措施的有效性;
e) 必要时,对信息安全管理体系实施变更。
纠正措施应与所遇不符合的影响相适应。
组织应保留文件记录信息作为下列事项的证据:
f) 不符合的性质以及所采取的所有后续措施;
g) 所有纠正措施的结果。
持续改进
组织应持续改进信息安全管理体系的适宜性、充分性和有效性。